11

Web アプリケーションをより安全にするためのシンプルで効果的な簡単な手順を探しています。

安全な Web アプリケーションに関する重要なヒントは何ですか?また、それらはどのような種類の攻撃を阻止しますか?

4

6 に答える 6

10

Microsoft Technet には優れた記事があります。

より安全な Web アプリケーションを設計、構築、デプロイするための 10 のヒント

その記事で回答されているヒントのトピックは次のとおりです。

  1. ユーザー入力を直接信用しない
  2. サービスには、システム アクセスも管理者アクセスも許可しないでください
  3. SQL Server のベスト プラクティスに従う
  4. 資産を守る
  5. 監査、ロギング、およびレポート機能を含める
  6. ソースコードを分析する
  7. 多層防御を使用してコンポーネントをデプロイする
  8. エンド ユーザー向けの詳細なエラー メッセージをオフにする
  9. セキュリティ管理の 10 の法則を知る
  10. セキュリティインシデント対応計画を立てる
于 2008-09-06T08:23:56.867 に答える
6

ユーザー入力を信頼しないでください。

SQL インジェクションとクロスサイト スクリプティング (XSS) 攻撃を回避するには、予想されるデータ型とフォーマットの検証が不可欠です。

于 2008-09-06T08:31:17.707 に答える
4
  1. ユーザーが提供したコンテンツをエスケープして、XSS攻撃を回避します。
  2. パラメータ化されたSQLまたはストアド プロシージャを使用して、 SQL インジェクション攻撃を回避します。
  3. OS への攻撃を最小限に抑えるために、Web サーバーを非特権アカウントとして実行します。
  4. OS への攻撃を最小限に抑えるために、Web サーバー ディレクトリを非特権アカウントに設定します。
  5. SQL サーバーに非特権アカウントを設定し、それらをアプリケーションに使用して、DB への攻撃を最小限に抑えます。

より詳細な情報については、安全な Web アプリケーションと Web サービスを構築するための OWASP ガイドが常にあります。

于 2008-09-06T08:23:10.007 に答える
1

OWASPはあなたの友達です。Webアプリケーションのセキュリティ脆弱性のトップ10リストには、各問題の説明とそれを防ぐ方法が含まれています。このサイトは、Webアプリケーションのセキュリティについてさらに学ぶための優れたリソースであり、豊富なツールとテスト手法も備えています。

于 2008-09-16T02:14:06.580 に答える
1

私のお気に入りのいくつか:

  1. 入力をフィルタリングし、出力をエスケープして、XSS または SQL インジェクション攻撃から保護します。
  2. データベース クエリに準備済みステートメントを使用する (SQL インジェクション攻撃)
  3. サーバー上の未使用のユーザー アカウントを無効にして、ブルート フォース パスワード攻撃を防ぎます。
  4. HTTP ヘッダーから Apache のバージョン情報を削除します (ServerSignature=Off、ServerTokens=ProductOnly)。
  5. Web サーバーを chroot jail で実行して、侵害された場合の被害を制限します
于 2008-09-06T15:42:42.053 に答える
0

SSLアプリケーションのCookieにセキュアフラグを設定します。そうでなければ、暗号を破るよりもはるかに簡単に実行できるハイジャック攻撃が常にあります。これがCVE-2002-1152の本質です。

于 2008-09-06T13:49:56.757 に答える